Protonmail, vers des emails (vraiment) sécurisés ?

Edit by daria : Premier article de l’invité de ce blog

Présentation

Logo_protonmail ProtonMail est comme son nom le laisse présager, un service de messagerie internet.Fondé en 2013 par trois scientifiques Jason Stockman, Andy Yen et Wei Sun (merci Wikipédia😉 ) qui se sont rencontrés au CERN. L’idée générale était de fournir aux utilisateurs de leur messagerie, un système d’envoi complètement sécurisé, où Bob rédacteur et Alice lectrice seraient les seuls à pouvoir visualiser le contenu d’un message qui transiterait via l’Internet d’un protagoniste à l’autre.

Fonctionnement d’une messagerie classique

Je ne vais pas trop rentrer en détail dans les principes de la cryptographie (sinon vous n’auriez plus envie de continuer la lecture). Basiquement, on utilise une clé pour chiffrer un message, et il est possible de découvrir ce message en utilisant une clé (pas la même que pour crypter) pour déchiffrer (décrypter) ce message et le rendre lisible par un humain. Ce principe est mis en avant dans cet exemple : Source = http://www.wri-irg.org Actuellement, les services de messagerie de type email fonctionnent en adoptant ou non des systèmes de cryptage pour en sécuriser le contenu : Scénario simplifié : Bob désire envoyer un email à Alice en passant par sa messagerie préférée, il compose donc son mail; ce dernier sera crypté lors du transport, par un intermédiaire ou par le serveur de messagerie.Cependant, le serveur de messagerie dispose des clés pour décrypter le message d’Alice. Nota bene : j’ai volontairement simplifié le processus, dans la réalité, c’est plus complexe (mais dans le même esprit).

Enjeux

Quiconque ayant accès au serveur de messagerie (et donc aux clés de déchiffrement), peut s’approprier le contenu des emails, mais qui est-ce que ce genre d’information peut intéresser ? La NSA, qui fait de la collecte d’information globale, avec l’appui de nombreux gouvernements. Les publicitaires, qui vont scanner le contenu des mails, des entêtes, pour constituer des collections d’adresses qui seront redistribuées à des intermédiaires et c’est un point de départ pour une bonne partie du courrier indésirable. Des utilisateurs malintentionnés, de méchants hackers, pirates, fraudeurs ? Alors voilà, comment faire pour communiquer par email sans que le contenu du mail ne puisse être intercepté ? En théorie, nul système n’est infaillible. Il est possible de crypter soi-même ses mails à l’aide d’outils dédiés tel OpenPGP : http://openpgp.vie-privee.org/ Mais sur le long terme, cela peut vite devenir laborieux… Et c’est là qu’intervient Protonmail, une solution plutôt pratique pour envoyer ses mails de manière sécurisée, mais comment est ce que cela fonctionne ? Prenons pour exemple nos deux internautes préférés, Bob et Alice, chacun d’eux disposent de deux clés :

  • Bob possède une clé publique et une clé privée
  • Alice possède une clé publique ainsi qu’une clé privée.

Bob souhaite envoyer un message à Alice, il chiffre donc son message avec la clé publique d’Alice. Et seule Alice pourra décrypter ce message, avec sa clé privée. Réciproquement, Alice souhaite envoyer un message à Bob, elle chiffre son message avec la clé publique de Bob; ainsi Bob découvrira le message grâce à sa clé privée.

Interface de la messagerie

Voici maintenant un aperçu de ladite messagerie, toujours au stade de bêta : Une fois connecté sur ProtonMail, on arrive sur cet écran, invitant l’utilisateur à saisir une seconde fois son mot de passe, pour déchiffrer le contenu de ses mails : Apercu_1 Notez bien que si vous vous absentez quelques minutes boîte ouverte, il faudra déchiffrer à nouveau votre messagerie. Aperçu de la boîte aux lettres Protonmail : Boite_a_lettres à première vue, l’interface semble assez sobre, on découvre intuitivement les fonctionnalités, à l’aide des icones du menu latéral, le cas échéant, en survolant ou en cliquant, on arrive sur la fonctionnalité en question… (Respectivement: Composer un mail, Boîte aux lettres, Brouillons, Envoyés, Favoris, Archive, Spam, Corbeille, Contacts, plus une barre de recherche en haut pour filtrer vos messages, un lien pour rapporter les bugs, et la possibilité de se déloguer (je ne suis pas certain que cet angliscisme se dise, mais vous m’aurez compris), pas de pubs, ça respire le flat design, pas de fioritures… Où est le piège ? Pour le moment, je n’ai pas encore intégré cet outil quotidiennement, car je suis assez familiarisé à des outils tels que Thunderbird,Outlook etc… et il est pour l’instant incompatible avec ces derniers. Il existe toutefois un plugin chrome pour permettre d’accéder plus rapidement à ses mails Proton, mais le temps gagné est minime… ça permet en gros, d’enregistrer son mot de passe dans le browser pour décrypter ses mails automatiquement, mais la sécurité n’est pas aussi élevée qu’en passant directement par l’interface de Proton.

Mails perissables

Une autre fonctionnalité que j’aime beaucoup avec cette messagerie est le fait de pouvoir envoyer un email qui avec date d’expiration. vue3 Ici, je souhaite que mon mail soit lisible 51 heures après envoi http://img11.hostingpics.net/pics/385250proton4.png Ce service fonctionne avec n’importe quel type de messagerie, voici à quoi ressemble un mail chiffré reçu par un utilisateur de Gmail : Message_received Ici pour lire son mail, l’utilisateur devra saisir le mot de passe fourni par l’expéditeur lors du chiffrement pour découvrir son message, sans quoi le message sera illisible par ce dernier. Voici une présentation bien plus exhaustive du fonctionnement de ProtonMail :

Conclusion

L’anonymat sur internet n’est donc pas totalement utopique, il existe des moyens de protéger ses données et ce que l’on partage, sous certaines conditions, dont l’une d’elles qui est de ne (jamais😉 ) pas toujours faire confiance aux prestataires de services de messagerie internet. Les serveurs de ProtonMail sont localisés en Suisse, donc, ne sont pas soumis à la legislation européenne ou américaine. La légende raconte que les messages sur ProtonMail sont tellement « chiffrés » que les créateurs eux-même ne peuvent pas lire les messages des utilisateurs. Pour le moment, l’entête du mail n’est pas encore chiffrée, donc pensez à ne pas transmettre d’informations capitales dans l’objet de votre mail chiffré/crypté… Merci de m’avoir lu, en espérant n’avoir pas été trop assommant..

EDIT du 16/06/2015 :

Si ça intéresse des personnes qui passeraient par là, il est possible depuis hier et pour une durée indéterminée de créer une compte en passant par le lien suivant (pour le moment uniquement par invitation depuis la page d’accueil) :

https://protonmail.ch/privacyforall

Une réflexion sur “Protonmail, vers des emails (vraiment) sécurisés ?

Les commentaires sont fermés.